来源:《兵马俑VPN》,演讲者:RSA威胁情报分析
0×01什么是兵马俑vpn
VPN的基础设施和服务面向中国大陆消费者,使用场景:游戏加速,翻墙,用户匿名访问等等。而“兵马俑VPN”的特殊之处是,它通过入侵漏洞服务器获得世界各地的网络结点。 “兵马俑”是中国的一个VPN服务商,在全球有1500多个节点,绝大部分位于中国、韩国、美国和东欧。有意思的是,这些VPN节点大多是由被黑客入侵的windows服务器搭建而成。这些服务器的主人大多是2SA研究员还惊奇的发现,某些中国APT攻击组织如Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)也曾利用“兵马俑”VPN网络发动网络间谍活动。
2013年美国劳工部入侵事件就和深渊熊猫有关。
详细,RSA在今年的Black Hat大会上发布了议题 没有证据说明兵马俑归属于某个APT组织运作,然而,兵马俑是一个商业服务在中国有很多品牌。类似的服务网上有很多,普遍价格低廉。议题的发布也许会刺激一些利用兵马俑的攻击组织改变策略
*** 墙遁所有服务器全部为自用机房服务器 ***
0×02兵马俑如何被发现的
在Derusbi木马的服务器后门(Shell — — Crew一直利用着Derusbi木马家族在企业网络中建立后门) 经ram dump 确认找到了Shell_Crew/Axiom 在敏感目标服务器上的后门,Derusbi服务器装载了一个携带防火墙钩取的客户驱动,允许监听任意端口,和其他的相同端口网络服务共存(例如80端口)
0×03目标web服务器
观察使用者从合法机构(不是中国)控制后门,观察了几个月后 显然,兵马俑从某种程度上来讲很成功,看起来是合法的用户合法的遍历了网络,这种结合的手法更增加了APT组织的迷惑性。
此时被黑的“肉鸡”服务器会成为“兵马俑”VPN网络的一部分,这些被黑的大多属于法律机构、大型工程公司、科技公司、学校、政府机构。
这些合法的orgs的共同点:
全是Windows 服务器 安装了Windows RRAS 特性,利用网络策略认证抵御中国的RADIUS服务器 VPN账户包括VPN的品牌名 泄漏了兵马俑VPN的品牌 允许列出详细结点 牵连到更多的受害者
*** 墙遁所有服务器均为Linux系统,并不存储任何用户数据,加密所有连接 ***
0×04兵马俑征召的服务器

0×05一个兵马俑VPN结点月统计数据
新的成功连接 118948 新的客户端IPPP地址 9053 中国大陆客户端IP地址 8903(98%) 新的客户端账户名 723(大多数连接用的试用账户) 新的客户主机名 3640
0×06兵马俑的VIP用户们
VPN日志显示出了一个通用账户,兵马俑客户端不需要的
Wang Jia “testwj”是其中之一,入侵成功后总是第一个登录,专用于测试受害服务器的配置。
一些其他的VIP账户像“dgweikunping”则因为一直通过家中同一台电脑名登录而泄漏了他们的地理位址,通常是通过VPN链登录。
0×07招募兵马俑结点过程
招募VPN新结点的过程看起来没有任何的花费,这样扩张的结果就是方便了APT组织们
调查研究发现,攻击者发现目标windows服务器后,会使用暴力破解的方式获得管理员的账号密码并登陆服务器,关闭windows防火墙。接下来 攻击者会关闭服务器上所有的反恶意程序软件,安装一个远程访问木马(远控程序)。部署好上述几步之后,攻击者会创建一个新的账户,安装VPN服务。
受害者Windows服务器通常都将TCP的135或3389端口暴露在网络中
兵马俑会瞄准有漏洞的Windows服务器,因为这个平台的VPN服务几分钟就能配置好。
0×08兵马俑VPN的工作流程
用户浏览兵马俑网站-下载客户端注册帐户-用户客户端软件认证 — 软件上传结点信息 — 用户选择VPN结点,云端取回编码的凭证,初始化连接 — VPN结点认证用户 — 通道建立
15日中国关停了很多VPN,但兵马俑还安然无恙。
0×09所有的VPN都在中国封锁了吗?
企业专属的VPN没有封锁
公开的VPN协议被封锁了 (#######openvpn############)
Windows 上创建VPN的协议普遍没有封锁 — — PPTP 点对点隧道协议 — — L2TP 双层隧道协议 — — SSTP 安全套接字隧道协议
0x0A新的发现
默认情况,所有的Windows VPN协议使用MS-CHAPv2认证,但是太多例子表明它们实在不安全
https://www.docin.com/p-382315274.html
但是事情更加的糟糕
潜在的监听者对兵马俑甚至都不用破译。RSA研究证实兵马俑结点明文传输用户凭证。
Originally published at www.dun.im on November 25, 2015.